Aktualności

Stack Overflow w proftpd!

Data publikacji: 05/11/2010, CERT Polska

proftpd

W popularnym serwerze FTP znaleziono klasyczny błąd pozwalający nadpisać dane znajdujące się na stosie. Dokładny opis błędu można znaleźć na bugzilli proftpd :
http://bugs.proftpd.org/show_bug.cgi?id=3521. Błąd zgłoszony przez TippingPoint związany jest z czytaniem sekwencji znaków zaczynających się od TELNET_IAC (opis sekwencji w RFC854). Możliwe jest przeprowadzenie zdalnego ataku na serwer FTP. Podatne są wersje 1.3.2 oraz 1.3.3.

Czytaj więcej

Zabić Bredolaba

Data publikacji: 05/11/2010, CERT Polska

Bredolab takedownBotnet Bredolab według niektórych oszacowań składał się z ponad 30 mln zainfekowanych maszyn. W trakcie śledztwa prowadzonego w minionych tygodniach zidentyfikowano 143 serwery związane z botnetem. Jednostka Dutch National High Tech Crime Team, holenderskie służby zajmujące się przestępstwami komputerowymi, 25 października podjęły działania mające na celu zniszczenie botnetu. W akcji brały udział też między innymi GovCERT.NL i firma Fox-IT. Rozpoczęto odłączanie kolejnych serwerów Command-and-Control od sieci Internet. Narodowa policja w Holandii w trakcie śledztwa starała się namierzyć podejrzanych o kierowanie botnetem. Głównego podejrzanego, 27-letniego Ormianina, namierzono w Rosji. Aresztowano go na lotnisku Zvartnots w Erywaniu w Armenii.

Czytaj więcej

SECURE 2010 za nami!

Data publikacji: 29/10/2010, przemek

Secure 2010Ten tydzień w CERT Polska to przede wszystkim XIV edycja organizowanej przez NASK konferencji SECURE. Przygotowując ją postawiliśmy na wiele zmian, więc nie obyło się bez obaw, czy wszystko pójdzie tak, jak sobie to wyobrażaliśmy. Na szczęście na podstawie pierwszych opinii, które do nas dotarły, wydaje się, że wyszło całkiem dobrze.

Dla blisko sześćdziesięciu uczestników konferencja rozpoczęła się w poniedziałek całodziennymi warsztatami. Do wyboru zaproponowaliśmy zajęcia prowadzone przez Tomka Grudzieckiego i Pawła Jacewicza z CERT Polska o zagadkowej nazwie „Duchy w przeglądarkach” oraz szkolenie z tworzenia reguł snorta oraz zastosowań tego oprogramowania, prowadzone przez Piotra Linke z Sourcefire. Miejsca na oba warsztaty zapełniły się długo przed konferencją. Uczestnicy byli zadowoleni, więc uznajemy, że ta nowość była krokiem w dobrym kierunku i zapewne skorzystamy z tej nauki w przyszłości.

Czytaj więcej

CERT Polska w Dubaju

Data publikacji: 13/10/2010, CERT Polska

CERT Polska in DubaiNa przełomie września i października działający w ramach NASK zespół CERT Polska przeprowadził na zaproszenie rządowego zespołu CERT Zjednoczonych Emiratów Arabskich (aeCERT) wdrożenie systemu HoneySpider Network w Dubaju.

Dzięki zastosowaniu systemu HSN aeCERT zyskał możliwość proaktywnego wykrywania i monitorowania złośliwych stron WWW, zarówno na terenie Zjednoczonych Emiratów Arabskich, jak i na świecie. Poza wdrożeniem systemu członkowie CERT Polska przeprowadzili szkolenia z zakresu jego obsługi, utrzymania oraz tworzenia raportów. Zorganizowano także trzydniowe warsztaty dotyczące ataków na aplikacje klienckie, w szczególności na przeglądarki internetowe i wtyczki do nich. Na potrzeby szkoleń stworzono wirtualne laboratorium zawierające spreparowane złośliwe strony WWW do analizy.

HuaweiSymantecSpider – co to za pająk i dlaczego szuka phpMyAdmin?

Data publikacji: 13/10/2010, TomaszG.

Trzy dni temu pojawiły się w systemie ARAKIS połączenia HTTP nawiązane przez – jeżeli wierzyć polu „User-Agent” – pająka webowego HuaweiSymantec. Poprzez żądania GET próbowano pobrać z naszych honeypotów pliki konfiguracyjne (setup.php) znanego narzędzia do zarządzania bazami danych MySQL – phpMyAdmin. Na pierwszy rzut oka wyglądało to jak połączenia generowane przez typowy skaner luk próbujący na ślepo znaleźć podatne lub źle skonfigurowane narzędzie na sprawdzanym serwerze:

HuaweiSymantecSpider-phpMyAdmin

Czytaj więcej

Krytyczna luka 0-day w programie Adobe Reader

Data publikacji: 09/09/2010, przemek

Firma Adobe opublikowała informację, w której przyznaje o istnieniu niezałatanej luki (CVE-2010-2883) w programach Adobe Reader 9.3.4 i wcześniejszych na platformy Windows, Macintosh oraz UNIX, a także Adobe Acrobat 9.3.4 na Windows i Macintosh. Luka pozwala na wywołanie awarii programu i wykonanie dowolnego kodu w systemie, co w konsekwencji może doprowadzić do przejęcia nad nim kontroli przez atakującego. Z dużą dozą prawdopodobieństwa dostępny jest już kod wykorzystujący tę podatność do rzeczywistych ataków.

Bieżące informacje o luce, publikowanych aktualizacjach oraz aktualne zalecenia można śledzić na stronie Adobe PSIRT: http://blogs.adobe.com/psirt/

Przypominamy, że istnieją bezpłatne alternatywne programy do odczytu plików PDF, np. Foxit Reader.

SECURE 2010 coraz bliżej!

Data publikacji: 08/09/2010, przemek

Tegoroczna edycja konferencji SECURE już za niecałe siedem tygodni. Znany jest cały program konferencji, który zapowiada się wyjątkowo interesująco. W tym roku do wyboru będą aż trzy równoległe sesje tematyczne. Wśród sesji plenarnych także nie zabraknie wielu znakomitych prelegentów.

Konferencję otworzy prezentacja Lance’a Spitznera – wykładowcy SANS, założyciela The Honeynet Foundation. Zapozna nas z nowatorskim podejściem do edukacji użytkownika, dostosowanym do wymogów nowych pokoleń, do których nawet najistotniejsze dla bezpieczeństwa informacje muszą być przekazywane w atrakcyjny i zwięzły sposób.

Maciej Pajęcki i Michał Kluska z serwisu nasza-klasa w prezentacji pt. „Od kliknięcia do umorzenia czyli >pospamujemy razem<” opowiedzą o historii pewnego dochodzenia w sprawie nadużywania mechanizmów rozsyłania wiadomości do użytkowników.

Mikko Hypponen, jedna z najbardziej znanych twarzy F-Secure, odsłoni kulisy ewolucji złośliwego oprogramowania i spróbuje przewidzieć przyszłe wektory ataków oraz ich konsekwencje podczas otwierającej drugi dzień konferencji prezentacji „Evolution of the Threat”.

Ryan McGeehan z portalu społecznościowego Facebook, którego popularność rośnie ostatnio lawinowo także w Polsce, opowie m.in. o tym, w jaki sposób poruszają się po nim przestępcy. Prezentacja „Defending a Social Network” w środowe popołudnie.

Na SECURE nie zabraknie także unikatowych prezentacji zespołu CERT Polska (aż cztery – od tematów technicznych, przez badawczo-rozwojowe, po społeczne).

W poniedziałek, przed konferencją, zapraszamy także na specjalne warsztaty w formule hands-on. Jeden z nich przygotowany jest przez CERT Polska i poświęcony jest analizie ataków na aplikacje klienckie. Drugi warsztat, prowadzony przez Sourcefire, będzie pokazywał praktyczne zastosowania oprogramowania Snort. Uwaga! Liczba miejsc na oba warsztaty jest ograniczona!

Szczegółowy program oraz informacje o prelegentach znaleźć można na stronie konferencji: http://www.secure.edu.pl/ Do końca września obowiązuje specjalna zniżka early bird. Zapraszamy!

Windows Binary Planting – podrzucanie modułów wykonywalnych w systemie Windows

Data publikacji: 26/08/2010, CERT Polska

bad dll

W ostatnich tygodniach szeroko dyskutowana jest nowa luka w zabezpieczeniach systemu Windows. Podatność zwana „Windows Binary Planting” lub „DLL Preloading Bug” pozwala na przeprowadzenie ataku na podatne aplikacje i w konsekwencji wykonanie spreparowanego kodu.

Omawiana luka w rzeczywistości nie jest luką w kontekście exploitacji oprogramowania, a raczej błędem projektowym, który można w zasadzie uznać za część funkcjonalności systemów Windows. Jest ona konsekwencją podejścia do ładowania bibliotek dołączanych dynamicznie (DLL) i, jako taka, jest znana już od dość dawna. Metoda nazywana Windows Binary Planting to po prostu nowy, pomysłowy sposób jej wykorzystania. Jest to metoda o olbrzymim potencjale dla potencjalnych napastników, przede wszystkim ze względu na duży zbiór podatnych aplikacji, których wersja jest w zasadzie bez znaczenia. O Windows Binary Planting pisał już w lutym pracownik Uniwersytetu Kalifornijskiego, Taeho Kwon, natomiast o innych metodach korzystania z luk w systemie ładowania bibliotek DLL (DLL spoofing) – m.in. polski specjalista ds bezpieczeństwa informacji Gynvael Coldwind (http://vexillium.org/?sec-dllsp).

Czytaj więcej

...10...1819202122